惡意美顏相機 App,偷讀簡訊認證碼讓你賠大錢

作者 | 發布日期 2019 年 10 月 25 日 8:15 | 分類 app , 手機 , 資訊安全 Telegram share ! follow us in feedly


Trend Micro 日前於官方資安部落格提到,他們發現偽裝成美顏相機 App 的惡意程式,會透過濫用手機權限的方式,擅自操作手機帳單付費,並竊聽傳送到手機的簡訊認證碼,在使用者不知情的狀態下完成付費設定,讓使用者蒙受財務損失。

假 App 真竊資

Trend Micro 行動威脅反應團隊(Mobile Threat Response Team)指出,2019 年初,Google 更新 Android App 的權限規則,限制 App 存取簡訊與通話記錄的權限,並加入必需跳出提示對話框與詢問使用者是否授權 App 存取裝置資訊的安全功能。

雖然種種防範手段可避免惡意程式散佈,並阻止它們竊取個人資料,但根據 Trend Micro 對行動資安的趨勢分析顯示,數位犯罪者仍然會受到金錢利益的驅使,竭盡所能在日益綿密的防護網中尋找破口,以繞過各種防護措施,而最近研究團隊則發現有種舊的攻擊手法死灰復燃。

Trend Micro 研究團隊在 Google Play 網路商店發現名為 Yellow Camera 的 App,行為與許多竊取訊息、暗藏廣告軟體等惡意程式類似,會在運作時於系統嵌入一個子程式(Routine),並從系統通知讀取簡訊驗證碼,然後啟動 WAP 付費(Wireless Application Protocol Billing),竊取使用者的金錢。

WAP 付費能將使用者的消費合併至電信帳單或從預付點數抵扣,雖然省去註冊或使用信用卡的麻煩,但也因較鬆散的安全防護措施,成為攻擊者覬覦的目標。

自動完成付費手續

當使用者安裝含有這類惡意程式的 App 時,惡意程式會自動下載 JavaScript Payloads 自動化腳本,在背景開啟 WAP 付費網頁,接著便會自動點擊索取類型分配碼(Type Allocation Code,TAC)的按鈕,並竊聽透過簡訊傳送的認證碼,在使用者沒有查覺的情況下完成付費手續。

根據 App 下載的文件名稱,似乎針對泰國、馬來西亞等東南亞國家攻擊,但同時也鎖定中文使用者,因此也很可能將目標轉移到其他有多數中文人口的國家。

雖然 Google 已在 Trend Micro 回報問題後,將類似 App 從 Google Play 下架,但蘋果 App Store 還可以看到類似 App 的蹤影。

Trend Micro 也提供簡單的防範方式,建議使用者安裝任何 App 時,都需要仔細閱讀 App 提出的權限需求,並辨識 App 是否提出不尋常的要求(如本例照相 App 為什麼會需要讀取手機簡訊),如此一來便能過濾許多惡意程式。

(本文由 T客邦 授權轉載;首圖來源:shutterstock)